Aller au contenu

Profils itinérants / alternative / sans Active Directory / Domaine

divinechild

Par divinechild
dans Microsoft Windows (Mobile)

Messages recommandés

divinechild Passionné

divinechild

Posté(e)
Posté(e)

Bonjour.

 

 

La problématique :

 

Il faudrait que chaque utilisateur puisse avoir son profil en se connectant depuis n'importe quel poste.

 

Il me semble que d'habitude, on gère cela avec un serveur windows et un domaine (que cela soit avec des profils itinérants ou autre).

 

N'il y a t'il pas une autre façon de faire, car ca serait pour eviter d'acheter un poste et une license windows server.

 

Ne peut-on pas avoir ce resultat en déclarant/déportant les chemins des profils sur le NAS par exemple ? Si oui comment ?

 

Je sais que l'on peut avoir un active directory et un domaine windows sous Linux, mais il y a toujours le problème d'eviter l 'achat d'une machine.

 

Et à ce propos, est-ce que l'on peut avoir un domaine et un active directory sur un NAS Synology (les QNAP le font grrrr) avec Samba 4  ?

 

Il me semble que les profils itinérants sont déconseillés (avis lus sur plusieurs lectures online), donc, une astuce, autre façon de faire ?

 

 

Matériel existant :

 

Nas Synology (version+)

5 machines sous Windows 7 pro

Lien vers le commentaire
Partager sur d’autres sites
Aloyse57 Mentor

Aloyse57

Posté(e)
Posté(e)

Ce n'est pas si simple de partager le profil sur une machine distante, car derrière ça il y a la gestion des droits associés.

AD ne fait pas que gérer les profils, mais aussi la sécurité.

 

Admettons que vous ayez réussi à mettre les profils en partage sur une machine quelconque. Sans AD, il va falloir créer tous les utilisateurs sur cette machine pour verrouiller ensuite à la main les profils par utilisateur, car vous ne voulez pas que A puisse aller farfouiller dans B et C.

Méchant boulot, même pour 5 usagers.

 

Perso, je vous conseille de dépenser les $500 d'un Serveur Essentiel (+$1500 pour la machine, avec les disques)

Le gain de temps de maintenance les vaut trèèèèèès largement.

Mais attention, c'est quand même balèze à configurer : ça ne se fait pas les doigts dans le nez. Il y a de ligne de commande, pas autant que sous Linux, mais quand même.

Lien vers le commentaire
Partager sur d’autres sites
xertux Nouveau

xertux

Posté(e)
Posté(e)

Bonjour,

 

 

Il me semble que d'habitude, on gère cela avec un serveur windows et un domaine (que cela soit avec des profils itinérants ou autre).

 

Oui, habituellement les entreprises utiisent un domaine AD pour ce genre de profil itinérant. Le coût de maintenance est largement plus bas qu'une solution basée sur OpenLDAP par exemple.

 

 

Je sais que l'on peut avoir un active directory et un domaine windows sous Linux, mais il y a toujours le problème d'eviter l 'achat d'une machine

[...].

Et à ce propos, est-ce que l'on peut avoir un domaine et un active directory sur un NAS Synology (les QNAP le font grrrr) avec Samba 4  ?

 

Non, ActiveDirectory est une solution Microsoft et n'est disponible que sur Windows Server. D'autant plus que ActiveDirectory est un rôle et utilise plusieurs services différents de Windows pour fonctionner.

Néanmoins, il est possible d'intégrer des stations Linux ou un NAS dans un AD et utiliser l'authentification AD pour se logguer.

 

Si vous avez un NAS Synology, les solutions OpenLDAP, RADUIS et Kerberos sont diponibles dans le gestionnaire de paquet. Ils vous permettront de gérer l'authentification des utilisateurs et de gérer les dossiers "home" pour chaque utilisateur.

La partie SAMBA du NAS permettra de créer les différents dossiers utilisateurs et d'y mettre les autorisations adéquates.

Puis, à partir des postes Windows, il n'y a plus qu'à se connecter aux dossiers partagés du NAS, les utilisateurs n'ayant accès qu'aux dossiers dont ils auront les autorisations.

 

Cette solution est plus complexe que déployer un serveur ActiveDirectory. Par conséquent, l'économie n'est pas forcément évidente. Si votre besoin est juste d'avoir la capacité d'utilisateur nomade :

Avec ActiveDirectory :

  • Achat de licence au début de la solution (Windows Server + BAL ActiveDirectory)
  • Installations du Windows Server et de l'ActiveDirectory sont très simple et guidées (tellement simple qu'on se demande si nous n'avons pas raté des étapes).
  • Création des utilisateurs dans AD --> simple
  • Intégration des Windows dans AD --> prévue
  • Déployer une GPO pour créer les profils itinérants (pour que les dossiers utilisateurs "Mes documents" "Bureau", etc... soient hébergés sur le serveurs et non sur les postes. Et de façon totalement transparente pour l'utilisateur)
  • A ce jour, je n'ai pas jamais eu de problème de déploiement pour une intégration aussi basique. Un cout de maintenance annuel faible

 

Avec votre NAS

  • Pas de coût de départ
  • Installation des différents paquets "OpenLDAP", "RADIUS", "Kerberos", "SAMBA"
  • Confiugration d'OpenLDAP + modifcication du schéma LDAP si nécessaire
  • Installation de RADIUS et/ou kerberos + configuration pour gérer l'authentification depuis la base LDAP
  • Si utilisation Kerbros --> implique un déploiement/configuration de DNS
  • Installation de SAMBA + configuration pour se baser sur les utilisateurs OpenLDAP
  • Création de chaque dossier pour chaque utilisateur
  • Définition des autorisations pour chaque dossier et par utilisateur

 

  • Pour les utilisateurs, processus assez lourd
    1. Se connecter au poste Windows
    2. Ouvrir les dossiers partager sur le NAS manuellement
    3. Se connecter auprès du NAS (Windows et le NAS ne partage pas la même base)

 

  • Il est possible d'intégrer les Windows 7 dans OpenLDAP pour faire une seule authentification, mais faut configurer PAM et NSS en ligne de commande sur le NAS
  • Au final, l'intégration met plus de temps et la solution demande une maintenance préventive (notemment lors de mises à jour). Ce qui peut-être onérueux en long terms. A vous de calculer le TCO des deux solutions.
Lien vers le commentaire
Partager sur d’autres sites
divinechild Passionné

divinechild

Posté(e)
  • Auteur
Posté(e)

@ caribou

 

Pas grave s'il y a de la conf à faire.

Simplement, quelle serait la méthode précisement (tuto quelque part etc) sans utiliser de Windows Server, et en utilisant les capacités de Samba 4, qui permet d'être un controleur de domaine et les services active directory (faire cela sur le NAS Synology serait l'ideal).

 

@xertux

 

Juste pour info, depuis la version 4 de Samba, on peut avoir maintenant un controleur de domaine et les services actives directory sous Linux pleinement fonctionnel, d'ou ma question d'implémenter cela sur le NAS Synology (pour eviter l'achat d'une machine et de la license Windows server etc).

 

Les besoins sont basiques, il faudrait juste que les users puissent avoir leur profil (par profil, j'entends leurs raccourcis dossiers, etc donc les dossiers c:\users et les fichiers ntuser.dat etc) depuis n'importe quel poste, donc même une solution/astuce sans domaine conviendrait (même si j'en convient, la gestion va être pénible).

 

EDIT : c'est ce que tu expliques en fait dans la partie " Avec votre NAS", ok .

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

Aller sur la liste des sujets
×
×
  • Créer...